Zum Inhalt springen
Zurueck zur Uebersicht
01 · Cookie-Consent

Cookie-Consent: Opt-In ist Pflicht

Vor jedem nicht-essentiellen Cookie braucht es aktive Einwilligung. Vor-angekreuzte Boxen, versteckte 'Akzeptieren'-Buttons und 'weiter surfen heisst zustimmen' sind seit Jahren rechtswidrig — werden aber immer noch eingebaut.

Cookie-Consent: Opt-In ist Pflicht

Worum es geht

Cookies und vergleichbare Technologien (Local Storage, Session Storage, IndexedDB, Fingerprinting, Tracking-Pixel) duerfen nur dann gesetzt werden, wenn sie technisch zwingend erforderlich sind ODER der Nutzer aktiv eingewilligt hat. Massgeblich ist § 25 TDDDG, der die ePrivacy-Richtlinie umsetzt. Wichtig: die TDDDG-Vorgaben gelten unabhaengig davon, ob die Cookies personenbezogene Daten verarbeiten — schon der reine Zugriff auf das Endgeraet zaehlt.

Statistik-Cookies (Google Analytics, Matomo ohne Anonymisierung), Marketing-Cookies, Tracking-Pixel und externe Medien (YouTube, Google Maps, Vimeo) sind nicht zwingend erforderlich. Vor dem Setzen ist also eine wirksame Einwilligung Voraussetzung — und die hat klare Anforderungen: freiwillig, informiert, eindeutig, granular, jederzeit widerruflich, ohne Dark Patterns. 'Vor-angekreuzt' ist rechtswidrig (EuGH Planet49). Die DSK hat im August 2024 zudem klargestellt, dass 'Pay-or-Consent'-Modelle (zahlen oder Tracking akzeptieren) nur unter strengen Bedingungen zulaessig sind — z.B. dass das Bezahl-Angebot tatsaechlich nutzbar und der Preis angemessen ist.

Verstoesse sind teuer und werden mittlerweile aktiv verfolgt: Bussgelder bis 300.000 EUR nach TDDDG, parallel DSGVO-Bussgelder bis 20 Mio EUR. Abmahnungen durch Verbraucherzentralen, Wettbewerber und Datenschutz-Aktivisten (z.B. noyb) sind Standard geworden. Reine 'Toolbar mit Akzeptieren-Button' reicht nicht mehr — die Aufsichtsbehoerden auditieren mittlerweile auch den Reject-Pfad und schauen, ob nach 'Ablehnen' wirklich keine nicht-essentiellen Cookies gesetzt werden.

Wer ist betroffen

  • Jede Website oder Web-App, die Cookies oder vergleichbare Speicher (Local Storage, IndexedDB, Service Worker) nutzt — auch im B2B.
  • Sites mit eingebetteten Drittanbieter-Inhalten: YouTube, Vimeo, Google Maps, Twitter/X-Embeds, LinkedIn-Buttons, Facebook-Like.
  • Online-Shops mit Tracking-Pixeln (Meta Pixel, TikTok Pixel, Pinterest Tag) und Conversion-Messung.
  • Marketing-getriebene Sites mit Google Ads, Microsoft Ads, Newsletter-Tracking-Pixeln.
  • Mobile Apps mit Tracking-SDKs (Firebase Analytics, AppsFlyer, Adjust) — die ePrivacy-Pflicht gilt auch dort.
  • Connected-Devices, Smart-TV-Apps, IoT-Dashboards mit Analytics oder Telemetrie.
  • Anbieter ausserhalb der EU, sobald sie EU-Buerger erreichen (Marktortprinzip TDDDG + DSGVO Art. 3).

Was Pflicht ist

  • Consent Management Platform (CMP) auf jeder Seite, sichtbar VOR dem Setzen nicht-essentieller Cookies, ohne 'verschwindendes' Banner.
  • Granulare Auswahl: mindestens 'Notwendig / Statistik / Marketing / Externe Medien', besser pro Anbieter einzeln.
  • Ablehnen muss UX-gleich zu Akzeptieren sein — keine Dark Patterns, kein verstecktes Menue, kein 'Erst nach drei Klicks'-Effekt (DSK 2024).
  • Aktive Handlung verlangt: vorangekreuzte Boxen oder 'weiter surfen heisst zustimmen' sind unwirksam (EuGH Planet49).
  • Widerruf jederzeit moeglich, mit demselben Aufwand wie die Erteilung (z.B. persistenter Fingerabdruck-Button in der Footer-Leiste).
  • Consent-Logs mit Zeitstempel, Settings-Hash, idealerweise IP-Hash und Banner-Version — mindestens 3 Jahre archivieren als Beweismittel.
  • Re-Consent bei Aenderung der Cookie-Liste, neuer Drittanbieter oder geaenderter Zwecke (kein 'einmal akzeptiert = fuer immer').
  • Datenschutzerklaerung mit aktueller Cookie-Tabelle: Anbieter, Zweck, Speicherdauer, Drittlands-Transfer, Cookie-Name.
  • Tag-Manager-Pruefung: keine Tags duerfen vor Einwilligung 'feuern' — Google Consent Mode v2 ist nicht automatisch konform.
  • Mobile-App SDKs: Tracking-SDKs (Firebase, AppsFlyer) muessen ebenfalls hinter Consent-Gate.
  • Reject-Pfad auditieren: nach Klick auf 'Ablehnen' duerfen keine nicht-essentiellen Cookies/LS-Eintraege gesetzt sein (Browser-Test, Aufsichtsbehoerde prueft das mittlerweile aktiv).

Was ich fuer dich uebernehme

  • Auswahl + Einbau eines DSGVO-konformen CMP (selbstgehostet oder EU-Anbieter wie Usercentrics EU-Profil, Klaro, Cookiebot EU-Datacenter, keine reine US-Plattform).
  • Integration in Next.js mit Server-Components-kompatiblem Pattern: kein Hydration-Flash, kein 'Cookie wird im Bruchteil einer Sekunde gesetzt und wieder geloescht'.
  • Consent-Logging in Supabase (EU) mit revisionssicherer Speicherung: hashed-IP, Banner-Version, Settings-JSON, Timestamp, Locale.
  • Test des Reject-Pfads mit echtem Browser (Playwright): Beweis dass nach 'Ablehnen' wirklich keine nicht-essentiellen Cookies/LS-Eintraege gesetzt werden — als Smoke-Test im CI.
  • Bestand-Audit deiner Website: welche Cookies werden tatsaechlich gesetzt (vor und nach Consent), welche sind nicht in der Cookie-Tabelle, welche kommen ueber Drittanbieter unsichtbar nach.
  • Datenschutzerklaerung-Update mit aktuellen Anbietern, Zwecken, Speicherdauern, Drittlands-Transfer — automatisch synchronisiert mit der CMP-Konfiguration.
  • Re-Consent-Workflow bei Aenderung der Cookie-Liste: Banner-Version bumpen, alte Consents als 'veraltet' markieren, neue Einwilligung einholen.
  • Optional: Pay-or-Consent-Pruefung gemaess DSK-Vorgaben (Aug 2024) — wirklich freiwillig, Preis angemessen, Bezahl-Angebot tatsaechlich nutzbar.
  • Jaehrliches Re-Audit: neue Drittanbieter, geaenderte Cookie-Listen, neue Aufsichts-Hinweise, Browser-Behaviour-Changes (z.B. Third-Party-Cookie-Phaseout).

Rechtsgrundlage

§ 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, frueher TTDSG, in Kraft seit 14.05.2024) · ePrivacy-Richtlinie 2002/58/EG (lex specialis zur DSGVO fuer Cookies) · DSGVO Art. 6 Abs. 1 lit. a (Einwilligung als Rechtsgrundlage) und Art. 7 (Anforderungen an wirksame Einwilligung) · EuGH 'Planet49' (C-673/17, 01.10.2019) · BGH I ZR 7/16 (28.05.2020, Planet49-Folgeentscheidung) · DSK-Beschluss zu Pay-or-Consent (Aug 2024) · EDSA-Leitlinien zu Einwilligung

Haeufige Fragen

Reicht es, das Banner einmal zu zeigen, danach nicht mehr?
Nein. Sobald sich die Cookie-Liste aendert (neuer Drittanbieter, neue Zwecke, andere Speicherdauer) muss erneut um Einwilligung gebeten werden. Auch wenn ein Nutzer geloescht hat, was deine CMP gesetzt hat (z.B. Cookies geloescht), kommt das Banner zurueck — was korrekt ist.
Darf 'Akzeptieren' visuell auffaelliger sein als 'Ablehnen'?
Nein. Die DSK hat im August 2024 klargestellt: Die Ablehnung muss mit demselben Aufwand wie die Annahme moeglich sein — keine Dark Patterns, kein verstecktes Menue, kein 'Erst nach drei Klicks'-Effekt. Sonst gilt die Einwilligung als nicht freiwillig und ist unwirksam.
Was zaehlt als 'technisch zwingend erforderlicher' Cookie?
Sehr wenig: Session-Cookies fuer Login, Warenkorb-Inhalte, CSRF-Tokens, Sprachpraeferenz auf direkter Nutzeranfrage. Statistik-Cookies, Marketing-Pixel, Tracking, eingebettete YouTube/Maps-Frames sind NICHT zwingend erforderlich — selbst wenn sie 'nur fuer die Reichweitenmessung' sind.
Ich nutze Google Tag Manager. Was muss ich pruefen?
Der Tag Manager selbst ist meist nicht das Problem — die ueber ihn ausgespielten Tags sind es. Pruefe, dass keine Marketing- oder Statistik-Tags VOR der Einwilligung 'feuern'. Google Consent Mode v2 hilft, ist aber nicht automatisch konform — wenn du 'Basic Consent Mode' nutzt, werden Hits weiter gesendet (nur eingeschraenkt). Sicherer ist 'Advanced' plus echter Block durch die CMP. Auditieren ueber Chrome DevTools (Network-Tab vor Klick auf Consent) ist der einfachste Test.
Gilt das TDDDG auch fuer meine Mobile App?
Ja. § 25 TDDDG spricht von 'Endeinrichtungen' — Smartphones, Tablets, Smart-TVs und IoT-Devices sind das genauso wie Laptops. Tracking-SDKs (Firebase Analytics, AppsFlyer, Adjust, Meta Audience Network) muessen also genauso hinter Consent-Gate wie Browser-Cookies. iOS-Tracking-Permission (ATT) ist eine andere Pflicht (Apples App Store), ersetzt das TDDDG-Consent nicht.
Ist 'Pay or Consent' (zahlen statt Tracking akzeptieren) erlaubt?
Eingeschraenkt ja, mit Bedingungen. Die DSK hat im August 2024 klargestellt: nur dann, wenn das Bezahl-Angebot ein 'echter' Service ist (keine Funktionsabwertung), der Preis angemessen ist und Nutzer nicht in eine de-facto-Zwangslage geraten. Der EuGH (Meta-Urteil 2023) und die EDSA-Stellungnahme 4/2024 haben strenge Anforderungen formuliert. Reine 'Akzeptiere Tracking oder zahle 9.99 EUR/Monat'-Modelle sind in der Praxis hochriskant — Abmahnung droht.
Tiefere Lesetour
Vertiefung im Blog

Brauchst du Unterstuetzung?

Lass uns 30 Minuten reden. Ich schaue mir deine Situation an und sage dir, was als Naechstes sinnvoll ist.

Termin vereinbaren
Made in Germany100% DSGVO-konformEU AI Act ReadySicheres HostingBarrierefreiCookie ConsentDaten-Anonymisierung